Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
kerberos [2025/04/02 11:06] jango [CLI] |
kerberos [2025/04/23 12:55] (aktuell) jango [Hauptkomponenten] |
||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | Kerberos ist ein [[netzwerkprotokolle|Protokoll]] zur **Authentifizierung** in verteilten [[netzwerk|Computernetzwerken]] um die Sicherheit der Kommunikation zwischen Benutzern und Ressourcen zu gewährleisten. Die Authentifizierung in [[Active Directory]] basiert auf Kerberos. | + | Kerberos ist ein [[netzwerkprotokolle|Protokoll]] zur **Authentifizierung** in verteilten [[netzwerk|Computernetzwerken]] um die Sicherheit der Kommunikation zwischen Benutzern und Ressourcen zu gewährleisten. Die Authentifizierung in [[Active Directory]] basiert auf Kerberos. |
+ | |||
<box green> | <box green> | ||
Das Kerberos-Protokoll basiert auf einem Client-Server-Modell und verwendet [[kryptographie# | Das Kerberos-Protokoll basiert auf einem Client-Server-Modell und verwendet [[kryptographie# | ||
- | |||
=====Hauptkomponenten===== | =====Hauptkomponenten===== | ||
Zeile 14: | Zeile 15: | ||
* **Sitzungsschlüssel**: | * **Sitzungsschlüssel**: | ||
+ | =====Kerberos Constrained Delegation (KCD)===== | ||
+ | |||
+ | Kerberos Constrained Delegation ist eine Erweiterung der Microsoft Windows Server Kerberos-Authentifizierung. Sie bietet einen Mechanismus zur Beschränkung der zusätzlichen Dienste, auf die ein Kerberos-authentifizierter Benutzer oder Dienst Zugriff anfordern kann. In einer nicht eingeschränkten Windows Server Kerberos-Umgebung kann ein ordnungsgemäß authentifizierter Dienst den Zugriff auf jeden anderen Dienst innerhalb derselben Domäne delegieren. Wenn eingeschränkte Delegation verwendet wird, können Administratoren Konten so einschränken, | ||
=====Authentifizierung===== | =====Authentifizierung===== | ||
Zeile 84: | Zeile 88: | ||
Sitzung 0 0:0x136c4 \ NTLM:(0) | Sitzung 0 0:0x136c4 \ NTLM:(0) | ||
</ | </ | ||
+ | |||
+ | =====Sicherheit===== | ||
+ | |||
+ | ====Krbtgt==== | ||
+ | |||
+ | In jeder [[Active Directory]] Domäne gibt es ein spezielles, verstecktes Benutzerkonto namens krbtgt. Dieses Konto hat kein Login, aber es besitzt ein Passwort (genau wie jedes andere Konto). Aus diesem Passwort wird ein geheimer Schlüssel erzeugt: der KRBTGT-Key. Dieser Schlüssel wird von den Domänencontrollern verwendet, um: | ||
+ | |||
+ | * Ticket Granting Tickets (TGTs) zu signieren. | ||
+ | * Die Gültigkeit eingehender TGTs zu prüfen. | ||
+ | |||
+ | Ohne diesen Key funktioniert Kerberos in der Domäne nicht mehr. | ||
+ | |||
+ | ====Angriffsmöglichkeiten==== | ||
+ | |||
+ | * Pass-the-Ticket (PtT): Angreifer stiehlt ein gültiges Ticket Granting Ticket (TGT) oder Service Ticket (TGS) aus dem Speicher. Das Ticket kann auf einem anderen System wiederverwendet werden (z. B. mit Mimikatz oder Rubeus), solange es gültig ist. | ||
+ | * Overpass-the-Hash (Pass-the-Key): | ||
+ | * Ticket Forging (Golden Ticket / Silver Ticket): Wenn Angreifer den KRBTGT-Key eines DC bekommt, kann er beliebige TGTs (Golden Ticket) oder TGS (Silver Ticket) ausstellen. | ||
+ | |||
+ | =====KKDCP===== | ||
+ | |||
+ | Kerberos Key Distribution Center (KDC) Proxy Protocol | ||
+ | |||
+ | {{ms-kkdcp.pdf}} | ||
=====Links===== | =====Links===== |